HIPAA OCR: 725 порушень, 275 млн записів

HIPAA OCR: 725 порушень, 275 млн записів

Оновлено для 2026 року

Управління з громадянських прав (OCR) HHS зафіксувало 725 порушень захисту медичних даних у 2024 році. Ці порушення зачепили 275 мільйонів записів пацієнтів. Це найвищий показник, зареєстрований за один рік.

Середня вартість одного порушення в охороні здоров'я досягла $10,22 млн у 2025 році. Таку цифру наводить Звіт IBM про вартість витоку даних. Вартість включає цивільні штрафи, судові витрати, повідомлення пацієнтів, кредитний моніторинг і втрату довіри.

2025 і 2026 роки є ключовими для охоплених суб'єктів та їхніх ділових партнерів. Запропоноване оновлення Правила безпеки HIPAA від березня 2025 року додасть найширший набір технічних вимог з 2003 року.

Що спричинило 725 порушень у 2024 році

Портал OCR групує порушення 2024 року за чотирма типами.

Хакерські атаки та IT-інциденти спричинили 74% зареєстрованих порушень. Програми-вимагачі, атаки на сервери та шахрайство з електронною поштою — це основні типи. Зловмисники тепер атакують цілі мережі. Одна атака може витягти записи з цілої системи EHR.

Несанкціонований доступ і розкриття спричинили 18% порушень. Сюди відносяться неналежний контроль доступу, зловживання з боку інсайдерів і помилки при надсиланні даних неправильному одержувачу.

Інциденти з третіми сторонами становили 35% порушень у 2024 році. Порушення розпочалося у ділового партнера, а не у охопленого суб'єкта. Лише компанія Change Healthcare (підрозділ UnitedHealth Group) розкрила понад 190 мільйонів записів пацієнтів. Це найбільше порушення медичних даних у США за всю історію.

Крадіжка або втрата портативних носіїв спричинили 8% порушень. Ноутбуки, USB-накопичувачі та паперові записи, загублені або вкрадені без шифрування.

18 типів PHI за методом Safe Harbor

Метод Safe Harbor HIPAA (45 CFR §164.514(b)) вимагає видалення всіх 18 типів даних пацієнтів. Більшість команд знають цей список. Складна частина — виявлення у великому масштабі.

1. Імена — пацієнтів, членів сім'ї, роботодавців
2. Географічні дані — будь-яка область менша за штат
3. Дати — госпіталізації, виписки, народження, смерті (рік може залишатися)
4. Номери телефонів
5. Номери факсів
6. Адреси електронної пошти
7. Номери соціального страхування
8. Номери медичних записів (формат різниться залежно від системи EHR)
9. Номери учасників планів медичного страхування
10. Номери рахунків
11. Номери сертифікатів і ліцензій — медичних, DEA, державних
12. Ідентифікатори транспортних засобів — VIN та номерні знаки
13. Ідентифікатори пристроїв — серійні номери та унікальні коди пристроїв
14. Веб-URL-адреси
15. IP-адреси
16. Біометричні дані — відбитки пальців і голосові відбитки
17. Фотографії обличчя та подібні зображення
18. Будь-який інший унікальний ідентифікатор, код або ознака

Тип 18 — найважчий для виявлення. Будь-який код, що пов'язує запис із конкретним пацієнтом, має бути видалений — навіть без встановленого шаблону.

Покрокове керівництво з очищення всіх 18 типів із клінічних записів дивіться у статті Деідентифікація за методом HIPAA Safe Harbor для медичних досліджень.

П'ять нових вимог у запропонованому оновленні правила безпеки

Запропоноване оновлення Правила безпеки HIPAA (березень 2025 року) додає п'ять обов'язків.

Щорічний аудит шифрування. Охоплені суб'єкти мають підтверджувати, що всі дані пацієнтів у стані спокою шифруються AES-256 або аналогом. Управління ключами повинне відповідати письмовим стандартам.

Письмові процедури деідентифікації. Будь-які дані пацієнтів, що використовуються в дослідженнях, навчанні ШІ або аналітиці, потребують письмово задокументованих кроків. Зазначення в політиці недостатньо. Потрібні технічні записи з доказами перевірки.

Перевірки безпеки ділових партнерів. Ділові партнери мають проходити конкретні технічні перевірки перед початком роботи. Раніше для цього вистачало договорів без технічних деталей.

Багатофакторна автентифікація (MFA). Весь персонал із доступом до електронних даних пацієнтів зобов'язаний використовувати MFA. Застарілі системи не є винятком.

Тестування реагування на інциденти. Обов'язкові щорічні навчання та технічні тести. Команди мають зберігати записи результатів.

Уроки Change Healthcare

Порушення в Change Healthcare (лютий 2024 року) показало, як виглядає системний ризик. Change Healthcare обробляла 15 мільярдів транзакцій на рік. Вона виступала сполучною ланкою між провайдерами, платниками та аптеками як клірингова установа.

Порушення почалося з одного облікового запису для віддаленого доступу. На цьому обліковому записі не було MFA. Зловмисники переміщалися мережею дев'ять днів. Потім вони запустили програму-вимагач.

Висновок очевидний. Діловий партнер із широким доступом до медичних транзакцій є ризиком для кожного свого партнера. Стара структура не була розрахована на провайдерів, що обробляють третину всіх медичних транзакцій у США.

Вимоги щодо MFA, сегментації мережі та перевірок ділових партнерів у запропонованому правилі прямо пов'язані з цією подією.

Про видалення PHI із форматів записів, специфічних для лікарень, читайте у статті Виявлення HIPAA MRN та шаблони, специфічні для лікарень. Про архітектуру з нульовим знанням, що захищає дані пацієнтів від мережі, читайте у статті HIPAA-сумісне хмарне PHI та архітектура з нульовим знанням.

Джерела

• HHS OCR: Портал порушень HIPAA
• IBM: Звіт про вартість витоку даних 2025
• HHS: Запропоноване оновлення Правила безпеки HIPAA, березень 2025